Il team di ricerca CrowdStrike Intelligence ha identificato un nuovo attacco alla catena di approvvigionamento durante l’installazione di una piattaforma di supporto chat-based. Nella fattispecie l’attacco avrebbe coinvolto un trojan spacciato come programma di installazione per l’implementazione dell’applicazione Comm100 Live Chat.

“Fino alla mattina del 29 settembre 2022, il malware distribuito tramite un programma di installazione firmato poteva essere scaricato direttamente dal sito Web dell’azienda. Le infezioni sarebbero state identificate presso organizzazioni dei settori industriale, sanitario, tecnologico, manifatturiero, assicurativo e delle telecomunicazioni in Nord America ed Europa.

Al momento, solo due sarebbero le versioni segnalate come contenenti il ​​payload malevolo:

• 10.0.72 con hash SHA256 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45
• 10.0.8 con hash SHA256 ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86 “

ci riferisce Gaetano Scavo, Security Analyst di Exprivia.

Anche il Canadian Center for Cybersecurity ha sensibilizzato sulla questione.

“Il Cyber ​​Center ha ricevuto segnalazioni di compromissione attiva in cui l’applicazione trojan è stata trovata installata e in uso.”, si legge in un avviso. 

I dettagli dell’infezione

“Il malware veniva distribuito tramite un programma di installazione Comm100 firmato utilizzando un certificato Comm100 Network Corporation valido.

Si trattava di un agent desktop Microsoft Windows 7+ ospitato su https[:]//dash11.comm100[.]io/livechat/electron/10000/Comm100LiveChat-Setup-win.exe, ovvero un’applicazione Electron contenente una backdoor JavaScript (JS) che scaricava ed eseguiva uno script di seconda fase dall’URL http[:]//api.amazonawsreplay[.]com/livehelp/collect.

Lo script di seconda fase sarebbe stato un JS offuscato contenente un’altra backdoor deputata a raccogliere informazioni sull’host. I ricercatori suppongono che successivamente l’attaccante installasse dei file dannosi aggiuntivi sull’host interessato, inclusa una DLL denominata MidlrtMd.dll, eseguita da una copia legittima del binario Microsoft Metadata Merge Utility (mdmerge.exe), che decodifica il payload (con una chiave RC4 hardcoded) e lo inietta in una istanza dell’applicazione “notepad.exe“, aprendo una connessione con il server C2 (“api.microsoftfileapis[.]com”, IP 8.219.167[.]156).“, aggiunge Mauro Gadaleta, Security Analyst di Exprivia.

Possibili mitigazioni

CrowdStrike Intelligence valuta che con molta probabilità l’attore responsabile di questa attività sia collegato con la Cina, basandosi sulla presenza di alcune evidenze, sulle TTP riscontrate (Tattiche, Tecniche e Procedure) e sulla tipologia di targeting.

A seguito della divulgazione responsabile di CrowdStrike, Comm100 ha già rilasciato un programma di installazione aggiornato (10.0.9) che può essere scaricato dal suo portale.

Ulteriori approfondimenti e IoC sono reperibili su CrowdStrike BLOG.

Il Parlamento europeo ha votato a stragrande maggioranza a favore dell’introduzione dell’USB-C come porta di ricarica comune per un’ampia gamma di dispositivi elettronici di consumo, tra cui iPhone e AirPods, entro la fine del 2024.

USB C più di Lightning

La proposta, nota come direttiva, obbliga tutti i produttori di elettronica di consumo che vendono i propri prodotti in Europa a garantire che un’ampia gamma di dispositivi sia dotata di una porta USB-C. Questa “porta comune” sarà una novità mondiale e avrà un impatto particolare su Apple, che utilizza ampiamente il connettore Lightning invece dell’USB-C su molti dei suoi dispositivi. I deputati sostengono che la mossa ridurrà i rifiuti elettronici, affronterà la sostenibilità dei prodotti e renderà più conveniente l’uso di diversi dispositivi. La direttiva ha ricevuto 602 voti a favore, 13 contrari e otto astensioni. In un comunicato stampa diramato oggi dal Parlamento europeo si legge che:

• Entro la fine del 2024, tutti i telefoni cellulari, i tablet e le fotocamere venduti nell’Unione Europea dovranno essere dotati di una porta di ricarica USB Type-C. Dalla primavera del 2026, l’obbligo si estenderà ai computer portatili. La nuova legge, adottata martedì in plenaria con 602 voti a favore, 13 contrari e 8 astensioni, fa parte di un più ampio sforzo dell’UE per ridurre i rifiuti elettronici e per mettere i consumatori in condizione di fare scelte più sostenibili.
• Con le nuove regole, i consumatori non avranno più bisogno di un caricabatterie diverso ogni volta che acquistano un nuovo dispositivo, ma potranno utilizzare un unico caricabatterie per un’intera gamma di dispositivi elettronici portatili di piccole e medie dimensioni.
• Indipendentemente dal produttore, tutti i nuovi telefoni cellulari, tablet, fotocamere digitali, cuffie e auricolari, console di videogiochi portatili e altoparlanti portatili, e-reader, tastiere, mouse, sistemi di navigazione portatili, auricolari e computer portatili ricaricabili tramite cavo, con una potenza massima di 100 Watt, dovranno essere dotati di una porta USB Type-C.
• Tutti i dispositivi che supportano la ricarica rapida avranno ora la stessa velocità di ricarica, consentendo agli utenti di caricare i loro dispositivi alla stessa velocità con qualsiasi caricatore compatibile.

Sono previste esenzioni per i dispositivi troppo piccoli per essere dotati di una porta USB-C, come gli orologi intelligenti, i tracker per la salute e alcune attrezzature sportive, ma si prevede che col tempo la normativa verrà estesa ad altri dispositivi. Le aziende dovranno anche garantire che le etichette dedicate informino chiaramente i consumatori sulle caratteristiche di ricarica dei dispositivi che acquistano. Inoltre, l’UE intende garantire l’interoperabilità delle soluzioni di ricarica senza fili con l’evolversi della tecnologia. La direttiva autorizza la Commissione europea a sviluppare atti delegati entro la fine del 2024 per obbligare le aziende a rendere le loro soluzioni di ricarica wireless personalizzate più aperte e conformi agli standard di interoperabilità, aiutando i consumatori a non rimanere bloccati in soluzioni di ricarica proprietarie, evitando la frammentazione e riducendo gli sprechi. Non è chiaro se questo includa il sistema di ricarica MagSafe di Apple per iPhone e AirPods, poiché si basa sullo standard di ricarica wireless Qi.

Ora il Consiglio europeo deve approvare la direttiva in modo che possa essere pubblicata sulla Gazzetta Ufficiale dell’UE. La direttiva entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’UE e i suoi requisiti inizieranno ad essere applicati ai nuovi dispositivi dopo 24 mesi. I prodotti in vendita prima della data di applicazione saranno esenti e potranno continuare a essere venduti anche dopo. Nel 2018, la Commissione europea ha tentato di raggiungere una risoluzione definitiva su questo tema, ma non è riuscita a diventare legge. All’epoca, Apple aveva avvertito che l’imposizione di una porta di ricarica comune all’industria avrebbe soffocato l’innovazione e creato rifiuti elettronici, in quanto i consumatori sarebbero stati costretti a passare a nuovi cavi. Gli sforzi dell’UE sono ripresi l’anno scorso, con la Commissione europea che ha guidato una versione aggiornata della direttiva. Ad aprile, il Comitato per il mercato interno e la protezione dei consumatori ha votato a favore della direttiva, con 43 voti a favore e solo due contrari. A giugno, la Commissione per il mercato interno e la protezione dei consumatori dell’UE ha raggiunto un accordo per presentare la direttiva al Parlamento europeo.

Cinque prodotti Apple di cui si vocifera il passaggio all’USB-C

Sia l’analista di Apple Ming-Chi Kuo che Mark Gurman di Bloomberg hanno affermato che Apple sta testando una versione dell’iPhone con una porta USB-C invece di una porta Lightning. Kuo ritiene che Apple potrebbe passare all’USB-C a partire dall’iPhone 15 del 2023, prima di passare agli AirPod e ad altri accessori in un secondo momento. Questa tempistica consentirebbe ad Apple di passare all’USB-C molti dei suoi dispositivi interessati prima dell’entrata in vigore della direttiva UE.

I ricercatori di Black Lotus Labs presso Lumen Technologies, hanno recentemente scoperto il malware multifunzionale Chaos scritto in Golang e sviluppato per colpire dispositivi basati su sistemi operativi Windows e Linux, nonché una vasta gamma di architetture software (ARM, Intel (i386), MIPS e PowerPC) utilizzate in dispositivi che vanno dai router SOHO (Small Office/Home Office) ai server aziendali.

Gli esperti avrebbero analizzato circa 100 campioni del malware Chaos, constatando che risulta essere scritto in lingua cinese, si basa su un’infrastruttura C2 con sede in Cina e include funzionalità precedentemente documentate nella botnet Kaiji Linux .

Inoltre secondo il rapporto, alcuni campioni analizzati dagli esperti sarebbero stati in grado di sfruttare le vulnerabilità CVE-2017-17215 e CVE-2022-30525 , impattando rispettivamente sui dispositivi Huawei e Zyxel.

La catena d’infezione

“A differenza delle botnet di distribuzione di ransomware su larga scala come Emotet che sfruttano lo spam per diffondersi e crescere, Chaos si propaga attraverso CVE noti e chiavi SSH brute force e rubate.” commentano i ricercatori.

La catena d’infezione può essere così riassunta:

• Chaos viene installato su un dispositivo host, stabilisce la persistenza e invia segnali al C2 integrato. 
• L’host riceve quindi una serie di comandi di staging a seconda del campione e dell’ambiente host (comandi per inizializzare la propagazione sfruttando un CVE noto, per propagarsi tramite SSH, tramite brute force, chiavi SSH rubate e IP spoofing). 
• L’host riceve una serie di comandi di esecuzione aggiuntivi, inclusa l’esecuzione della propagazione tramite il CVE designato, ulteriori sfruttamenti del target corrente, i lancio di attacchi DDoS e il cryptomining.

Gli obiettivi

Gli esperti sono stati in grado di enumerare i C2 e gli obiettivi di più cluster Chaos distinti, alcuni dei quali sono stati impiegati in recenti attacchi DDoS contro i settori dei servizi finanziari e della tecnologia, dei media e dell’intrattenimento. 

L’analisi dei contagi da metà giugno a metà luglio 2022 ha rivelato che la maggior parte dei bot si trovava in Europa e in particolare in Italia. Altre infezioni sono state osservate in Nord e Sud America e Asia Orientale.

In crescita i malware scritti in Golang

“Prima riflessione da fare nell’analisi del Chaos Malware è la capacità del codice malevolo di infettare una ampia gamma di sistemi basati su molteplici piattaforme, ciò grazie al fatto che è stato scritto nel linguaggio di programmazione Go. Il linguaggio Go conferisce ai malware portabilità, flessibilità, capacità di eludere sistemi di difesa e di analisi, per questo motivo negli ultimi anni si è assistito ad un incremento delle minacce scritte in Go.” – commenta per #MatriceDigitale Pierluigi Paganini CEO Cybhorus, esperto di cybersecurity ed intelligence.

Preoccupante il tasso di crescita delle infezioni

“Chaos malware è estremamente insidioso, la capacità di supportare oltre 70 differenti commandi lo rende uno strumento ottimale per condurre molteplici attività malevole, dall’esecuzione di attacchi DDoS ad attività di crypto mining.” – prosegue l’esperto e conclude – “Sebbene ad oggi la botnet basata su Chaos non sia comparabile alle principali nel panorama delle minacce, preoccupa il tasso di crescita delle infezioni, ad aggravare la situazione una prevalenza di sistemi compromessi da questa minaccia proprio in Italia.  Abbiamo pochi dubbi sul fatto che questa minaccia continuerà a crescere grazie ai fattori illustrati.”

I consigli dei ricercatori

Poiché uno dei modi principali in cui si diffonde Chaos è lo sfruttamento di vulnerabilità note è consigliabile garantire una gestione efficace delle patch dei CVE scoperti e monitorare le connessioni a qualsiasi infrastruttura sospetta. In questo contesto gli utilizzatori di router SOHO dovrebbero sempre assicurare l’installazione di aggiornamenti e patch di sicurezza disponibili sui propri dispositivi e gli smart worker dovrebbero sempre modificare le password predefinite e disabilitare l’accesso root remoto sui computer qualora non necessario.